برسام چیست؟

اکنون‌که سازمان‌ها برای کاهش تهدیدات سایبری به استفاده از ابزارهای تخصصی روی آورده‌اند، نفوذگران و تبهکاران سایبری کارمندان سازمان‌ها را به‌عنوان نقطه اولیه حمله در نظر گرفته و روی آن‌ها متمرکزشده‌اند. سوءاستفاده از خلأ دانش و کم آگاهی کاربر، ساده‌ترین راه برای نفوذ به زیرساخت‌های فناوری اطلاعات سازمان است.

یعنی پرسنل به هدف اصلی تبهکاران سایبری تبدیل‌شده‌اند و سوءاستفاده از نقاط ضعف انسان‌ها مانند بی‌توجهی، کم بودن دانش یا سهل‌انگاری بسیار ساده‌تر و ارزان‌تر از تلاش برای فریب دادن نرم‌افزارهای حفاظتی پیچیده است.

پس طبیعتاً بسیاری از سازمان‌ها با در نظر گرفتن این مسائل، آموزش‌های مربوط به تقویت و بهبود آگاهی امنیت سایبری را در اولویت‌های اصلی خود قرار می‌دهند و برای ایجاد یک محیط شرکتی امن‌تر تلاش می‌کنند.

ولی آموزش این دانش غالباً کاری دشوار، خسته‌کننده و بی‌ربط تلقی می‌شود. رویکرد کارکنان به این‌گونه آموزش‌ها معمولاً مثبت نیست؛ زیرا یا چنین آموزش‌هایی آن‌قدر پیچیده و فنی است که آموختن و به‌کارگیری آن‌ها دشوار است یا پرسنل در تشخیص ارتباط بین عملکرد خود و پیامدهای احتمالی و آموزش‌ها، دچار خطا می‌شوند؛ و در برخی موارد این اقدامات را فقط وظیفه متخصصان فناوری اطلاعات سازمان می‌دانند که کارشان مراقبت از امنیت سایبری شرکت است و برای خودشان نقشی قائل نیستند.

اما برنامه‌های ما در برسام به معنای برنامه سازمانی آگاهی رسانی امنیت سایبری تنها ارائه‌دهنده دانش نیستند، بلکه مهم‌تر از آن، عادات را تغییر داده و الگوهای رفتاری جدیدی را شکل می‌دهند؛ زیرا هدف واقعی، آگاهی رسانی و بالابردن سطح آگاهی به‌منظور تغییر رفتار است.

چنین رویکردی رفتار کاربران را تغییر می‌دهد و به ایجاد یک محیط امن سایبری در سراسر سازمان کمک می‌کند.

چرا برسام؟

در فعالیت آگاهی‌رسانی، فراگیرنده اطلاعات را دریافت می‌کند. هدف آگاهی‌رسانی رساندن پیامی به‌صورت گسترده و عام است و از روش‌های مختلفی برای جذاب کردن پیام استفاده می‌کند.اما بحث «آموزش» رسمیت بیشتری دارد و هدف آن ایجاد دانش و مهارت به‌منظور بهتر به انجام رساندن یک کار و بالا بردن کارایی است. (مثلاً آگاهی‌رسانی در مورد ویروس‌ها، خطرات آن‌ها، نحوه مقابله با آن‌ها و نحوه گزارش حملات ویروسی).پس برنامه آگاهی‌رسانی امنیتی، صرفاً یک برنامه آموزشی نیست. یک برنامه برای جلب‌توجه کاربران به مقوله امنیت است. هدف آن آگاه ساختن کاربران نسبت به مخاطرات امنیتی و واکنش نسبت به آن است.جهت طراحی و تدوین برنامه و اتخاذ استراتژی مناسب به این روش عمل خواهد شد:

تعریف محدوده طرح (scope) و جامعه مخاطبان

تعیین وظایف و نقش‌های ذینفعان (همه گروه‌هایی که به نحوی در این پروژه دخیل بوده و یا در اثر اجرای آن تحت تأثیر قرار خواهند گرفت)

تعیین اهداف آموزش هر برنامه برای هر گروه از مخاطبان

تعیین روش مستندسازی و دریافت بازخوردها

تعیین اهداف موردنظر (از طریق بررسی گزارش‌های حاصل از طرح‌هایی مانند ISMS)

تعیین اجباری یا اختیاری بودن مطالب برای هر گروه از جامعه مخاطب

تصمیم‌گیری در مورد روش‌های اجرا

تجربیات مورد استفاده

اما بحث «آموزش» رسمیت بیشتری دارد و هدف آن ایجاد دانش و مهارت به‌منظور بهتر به انجام رساندن یک کار و بالا بردن کارایی است. (مثلاً آگاهی‌رسانی در مورد ویروس‌ها، خطرات آن‌ها، نحوه مقابله با آن‌ها و نحوه گزارش حملات ویروسی)
پس برنامه آگاهی‌رسانی امنیتی، صرفاً یک برنامه آموزشی نیست. یک برنامه برای جلب‌توجه کاربران به مقوله امنیت است. هدف آن آگاه ساختن کاربران نسبت به مخاطرات امنیتی و واکنش نسبت به آن است.جهت طراحی و تدوین برنامه و اتخاذ استراتژی مناسب به این روش عمل خواهد شد:

تعیین وظایف و نقش‌های ذینفعان (همه گروه‌هایی که به نحوی در این پروژه دخیل بوده و یا در اثر اجرای آن تحت تأثیر قرار خواهند گرفت)

تعیین اهداف موردنظر (از طریق بررسی گزارش‌های حاصل از طرح‌هایی مانند ISMS)

تعیین اهداف آموزش هر برنامه برای هر گروه از مخاطبان

تعیین روش مستندسازی و دریافت بازخوردها

تعیین اجباری یا اختیاری بودن مطالب برای هر گروه از جامعه مخاطب

تصمیم‌گیری در مورد روش‌های اجرا

چگونه اجرا می‌شود

نمونه هایی از اجرای برنامه را می توان چنین برشمرد:

تأکید بر اهمیت رمز عبور و مدیریت آن

پشتیبان گیری و بازیابی اطلاعات

حفاظت از سیستم‌های همراه

نحوه حفاظت در مقابل بدافزارها یا هرزنامه‌ها

سیاست‌های کاری امنیتی در سازمان و نحوه حفظ و حراست از آن‌ها

تعریف نرم‌افزارهای مجاز یا غیرمجاز در سازمان

نحوه وبگردی ایمن

استفاده مجاز یا غیرمجاز از اینترنت در سازمان

مجاز یا غیرمجاز بودن اتصال سیستم‌های شخصی به سیستم‌های سازمانی امنیت لپ‌تاپ‌ها

حوه حفاظت فیزیکی از سیستم‌ها

خطرات ایمیل‌های ناشناخته

مهندسی اجتماعی

esap-021

چگونه استفاده کنیم؟

برسام می تواند نیروی انسانی سازمان را با وظایفی که نسبت به امنیت فناوری اطلاعات دارند آشنا می کند و می تواند مکمل استاندارد ایزو ۲۷۰۰۱ باشد.

esap-022

چرا استفاده کنیم

مهمترین چالش امنیتی سازمان ها،
آموزش نیروی انسانی در خصوص امنیت است برسام می تواند به خوبی به این نیاز پاسخ دهد.

esap-023

تجربیات جهانی

اغلب سازمان ها، بانک ها، مراکز مهم مالی و شرکت های بزرگ برنامه آگاهی رسانی امنیتی را مورد اجرا گذاشته و در حال استفاده ازآن هستند که سابقه شروع برخی از آنها به سال ۲۰۰۶ میلادی بر می گردد.

مقالات